CISSP 第5章 保护资产的安全

1、资产识别和分类


1.1 敏感数据
1.1.1 定义

敏感数据是任何非公开或非机密的信息,包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。

1.1.2 个人身份信息PII

个人身份信息(PII)是任何可以识别个人的信息。包括以下两类:

a.可用于区分或跟踪个人身份的任何信息,如姓名、身份证号码、社保号码、出生日期和地点或生物特征记录;

b.与个人相关或可链接的任何其他信息,如医疗、教育、财务和就业信息。

1.1.3 受保护的健康信息PHI

受保护的健康信息(PHI)是与特定人相关的任何健康相关信息。在美国,《健康保险便携性和责任法案》HIPAA规定了PHI保护。

HIPAA提供了PHI的更正式定义,健康信息是指无论是口头的还是以任何形式或媒介记录的以下任何信息:

a.由医疗保健提供者、医疗计划、公共卫生当局、雇主、人寿保险公司、学校或大学或医疗保健清算所创建或接收;

b.与任何个人过去、现在或将来的身体或心理健康或状况、向个人提供的医疗保健、或向个人提供医疗保健的过去、现在和将来的付款有关的信息。

c.根据HIPAA,雇主保存的健康信息作为员工雇佣记录的一部分不被视为PHI。然而,管理自费健康计划的雇主必须满足某些要求,将雇佣记录与健康计划记录分开,以避免不允许的PHI披露。

1.1.4 GDPR中敏感数据

GDPR中敏感数据指特殊类别的个人数据:种族民族起源、政治观点、宗教或哲学信仰或工会会员身份、基因数据、生物特征数据、有关健康的数据等

1.2 信息分级(信息分类)
1.2.1 定义

数据分类可识别数据对组织的价值,对于保护数据的保密性和完整性至关重要。这些策略识别出组织内使用的分类标签,确定了数据所有者如何确定适当分类,以及人员如何根据分类保护数据。

1.2.2 数据分级

政府:绝密TOP secret、秘密Secret、机密Confidential、未分类Unclassified

非政府:机密/专有Confidential/Proprietary、私有Private、敏感Sensitive、公开Public

1.2.3 分级控制

a.控制类别的选择取决于管理组及安全团队对相应类别信息的安全需求;

b.对所有敏感的数据和程序进行严格的粒度访问控制;

c.对存储和传输的同时对数据进行加密;

d.职责分离:判断两个或更多的人必须参与访问敏感信息,防止欺诈行为,定义相关程序;

e.定期审查:审查分类层次、数据和程序等相关内容,确保他们仍然与业务需求保持一致,数据或应用程序可能还需要重新分类;

f.标记:标记和处理程序

1.2.4 责任的层级

a.高级管理者理解公司愿景,业务目标;

b.职能管理者了解各自的部门如何工作,个人在公司内扮演什么角色,以及安全如何直接影响他们的部门;

c.运营经理和员工知道详细的技术和程序要求,以及如何使用系统的信息;

d.每一层级都应输入最好的安全措施,程序和选择的控制,以确保商定的安全级别提供必要的保护;

e.高级管理层对组织安全负有最终责任。

1.3 资产分级
资产分级应与数据分级相匹配,如果一台计算机正在处理绝密数据,那么这台计算机也应该被归类成绝密资产。

1.4 确定数据安全控制
1.4.1 信息生命周期

创建、使用、存储、传输、变更、销毁等

1.4.2 数据安全策略

a.针对数据安全的威胁行为,包括:滥用、恶意攻击、无意错误、非授权访问、物理设备盗窃或损坏,自然灾害等;

b.采用分层的安全架构,以及深度防御架构,包括:1.不间断电源,服务器镜像(冗余),备份,备份完整性测试;2.物理访问控制,网络访问控制,防火墙,敏感数据加密;3.软件补丁更新,事件响应,灾难恢复计划等.

c.采用基于风险管理的方法:风险评估、风险降低、评价和评估.

1.5 理解数据状态
1.5.1 静态数据

a.静态数据是存储在系统硬盘、外部USB驱动器、SAN(存储区域网络)和备份磁盘等介质上的任何数据。针对静态数据的保护,包括备份磁带、异地存储、密码文件等。

b.风险:恶意用户可能通过物理或逻辑访问存储设备,获取敏感信息

c.保护对策:1.制定并测试数据恢复计划;2.可移动设备和介质必须进行加密,包括笔记本、平板电脑、智能手机、可穿戴设备;3.选择合适的加密工具和算法,如AES加密;4.创建安全的口令;5.使用口令和密钥管理工具

1.5.2 动态数据

a.动态数据是指通过网络传输的任何数据,这包括使用有线或无线或通过内部网络传输的数据。针对传输数据的保护,主要通过加密方法,防止被截获,如链路加密、端到端加密。

b.风险:恶意用户可能截获或监控传输中的明文数据。

c.保护对策:1.数据可以被Web访问时,必须采用安全加密协议,如TLS1.2;2.Email传输必须使用PGP或S/MIME,并将数据通过加密软件加密作为附件;3.网络层使用IPsec加密;4.保密数据在任何网络进行传输必须加密;5.应用和数据库之间通信应采用加密。

1.5.3 使用中的数据

a.使用中的数据也被称为正在处理的数据,是指应用程序正在使用内存或临时存储缓冲区中的数据。应用程序通常在将加密数据放入内存之前对其进行解密。这允许应用程序对其进行处理,但重要的是不再需要数据时刷新这些缓冲区。

b.在某些情况下,应用程序可以使用同态加密处理加密数据,这限制了风险,因为内存处理的是加密的数据。

1.6 管理信息和资产
1.6.1 标记敏感数据和资产

a.标记敏感信息确保用户可方便地识别任何数据的分类级别。物理标签是指在介质上贴标签,数字标签是指电子标签。

b.数据防泄漏DLP:

①定义:防止企业敏感信息泄露的一套技术

②部署DLP优点:保护关键业务数据和知识产权;加强合规;降低数据泄露风险;加强培训和意识;改进业务流程;

③关键目标:将存储在整个企业的敏感信息进行定位;对整个企业敏感信息的移动进行监控和控制;对终端用户系统敏感信息的移动进行监控和控制。

④隐写术和水印技术:隐写术是一种信息隐藏技术,将大量信息隐藏在图片和视频文件中;信息隐藏包括隐蔽通道、在Web页面隐藏文本、隐藏可见文件、空密码;

1.6.2 处理敏感信息和资产

定义:处理指的是介质在有效期内的安全传输。

1.6.3 存储敏感数据

定义:敏感数据应以防止它受到任何损失类型的影响的方式存储。

1.6.4 销毁敏感数据

a.定义:当数据不再使用并做恰当销毁的时候。

b.数据确实被销毁,包括副本也被销毁;数据被正确销毁,数据恢复的花费高出数据本身的价值。

1.6.5 消除数据残留

a.清除clearing:通过一般的系统或软件恢复工具无法恢复,特殊的实验室工具可以恢复。使用覆写技术,对介质进行写操作以覆盖原有数据,通常进行三遍。

b.根除Purging:任何技术都无法恢复。使用破坏,存储介质被破坏到常规设备无法读取和使用的地步;使用消磁技术,通过强磁场或电磁场消除磁介质中的数据。

c.净化sanitizing:有时泛指消除数据残留的方法;也被指做生产数据脱敏处理。

d.删除和格式化:是最不安全的方法。

e.加密encryption:加密数据使其没有密钥的情况下不可读。

f.SSD固态硬盘:物理破坏,使用粉碎设备是净化SSD的最佳方法,或者使用加密技术。

1.6.6 确保适当的资产保留期

a.根据法律法规要求来制定数据保留策略。

b.数据保留时长:如时间太短,数据可能还有用;如时间太长,浪费数据保存成本,也增加了相应的责任。

c.备份和归档的区别:①数据备份是当前使用的数据集的副本,用于从原始数据的丢失中恢复。②数据存档是不再使用的数据集的副本,但需要保存以备将来使用。当数据被归档时,它通常被从原来的位置移除,这样存储空间就可以重新被使用。

1.6.7 保护其他资产

a.保护移动设备,包括:①清点所有移动设备,包括序列号,以便他们可以正确识别;②密码保护BIOS的笔记本电脑;③飞行时随身携带,不托运;④加密设备上的所有数据。

1.6.8 生命周期结束EOL、支持终止EOS、服务寿命终止EOSL

a.生命周期结束是指制造商不再生产产品的时间点,服务和支持会在EOL后继续一段时间,但不会提供新版本进行销售和分发;

b.服务寿命终止EOSL或支持终止EOS是指不再从供应商处获得更新和支持的服务;

c.EOL、EOS、EOSL可适用于软件或硬件;

d.EOL产品应在其出现故障或达到支持终止EOS或使用寿命终止EOSL之前安排更换。

2、定义资产所有权


2.1 定义
组织内的许多人管理、处理和使用数据,不同角色有不同的需求,定义数据角色,建立全生命周期的数据所有权,逐步建立数据可追溯性,确保数据质量和元数据的指标维持在一个基本水平之上。

2.2 数据所有者
a.通常是管理者,负责特定的业务部门,并负责保护和使用特定信息子集;

b.数据所有者有数据due care责任,因此将负责任何疏忽行为,导致数据的损坏或泄露;

c.负责决定数据分级,批准数据的访问权,间接或直接决定谁可以访问特定的数据;

d.数据所有者通常拥有数据的法律权限,包括知识产权和版权等;

e.信息一旦创建,必须明确所有权责任,通常是创建、购买、或获取信息的人;

f.所有者责任通常包括:①定义信息对于组织使命的影响;②理解信息的替换成本;③判断组织内网的人谁需要信息,以及在哪种环境下发布信息;④了解在什么时候数据不再准确或不再需要,应当被销毁。

g.应当建立和文档化相关策略:①数据所有权、知识产权、版权;②业务相关的法定义务和非法定义务,确保数据合规;③数据安全、防泄密控制,数据发布、加工、传播相关的策略;④在数据发布前,与用户或客户签署备忘录和授权协议,明确使用的条件。

2.3 资产所有者
资产所有者是拥有处理敏感数据的资产或系统的人员。

2.4 数据使用者/数据处理者
a.GDPR中区分数据控制者和数据处理者:①数据控制者决定数据处理的目的和方式;②数据处理者按照数据控制者的要求对数据进行处理。

b.个人数据处理中可以使用的数据保护技术:①假名化,假名化可以防止通过数据直接识别到个人;②令牌化/标记化,令牌化是使用令牌(通常是随机字符串)来替换其他数据,通常用于信用卡交易;③匿名化,去除所有相关数据,使得理论上无法识别数据主体或个人的过程;④数字版权管理DRM,试图为受版权保护的作品提供版权保护,目的是防止未经授权的使用、修改和分发受版权保护的作品;⑤云访问安全代理CASB,是一种逻辑上位于用户和基于云的资源之间的软件,它监控所有活动并执行管理员定义的安全策略。

2.5 管理员
数据管理员负责授予人员适当的访问权限,管理员未必具有全部管理员权限和特权,但具备分配权限的能力。

2.6 托管员
a.负责维护和保护数据;

b.实施和维护安全控制;

c.执行定期备份数据;

d.定期验证数据的完整性;

e.从备份介质恢复数据;

f.保留记录的活动;

g.实现公司的安全政策、标准和指南的要求,涉及到信息安全和数据保护。

2.7 用户
a.用户是通过计算系统访问数据以完成工作任务的人;

b.用户需要遵从AUP可接受使用政策

2.8 保护隐私
a.组织有义务保护他们收集和维护的数据。

3、使用安全基线


3.1 定义
安全基线提供了一个基点并确保了最低安全标准,为系统建立最小的防护措施,企业可以根据自己的情况定制安全基线。

3.2 范围界定和按需定制
a.通过范围定义和裁剪的方法,聚焦安全架构的重点;

b.根据企业的需求,灵活应用各类标准和基线。
————————————————
版权声明:本文为CSDN博主「KALC」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_42947816/article/details/129255125

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/592479.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python旅游大数据分析可视化大屏 游客分析+商家分析+舆情分析 计算机毕业设计(附源码)Flask框架✅

毕业设计:2023-2024年计算机专业毕业设计选题汇总(建议收藏) 毕业设计:2023-2024年最新最全计算机专业毕设选题推荐汇总 🍅感兴趣的可以先收藏起来,点赞、关注不迷路,大家在毕设选题&#xff…

[GKCTF 2020]ez三剑客-eztypecho

[GKCTF 2020]ez三剑客-eztypecho 考点:Typecho反序列化漏洞 打开题目,发现是typecho的CMS 尝试跟着创建数据库发现不行,那么就搜搜此版本的相关信息发现存在反序列化漏洞 参考文章 跟着该文章分析来,首先找到install.php&#xf…

Ubuntu20.04安装suiteCRM

两篇有用的文章 在ubuntu16.04上安装suitecrm_suitecrm ubuntu-CSDN博客 SuiteCRM搭建安装(apachemsyqlphp)_suitecrm 宝塔安装-CSDN博客 对照着一步步操作就可以了

基于多反应堆的高并发服务器【C/C++/Reactor】(中)处理任务队列中的任务 添加 删除 修改

(1)EventLoop启动 EventLoop初始化和启动 // 启动反应堆模型 int eventLoopRun(struct EventLoop* evLoop) {assert(evLoop ! NULL);// 取出事件分发和检测模型struct Dispatcher* dispatcher evLoop->dispatcher;// 比较线程ID是否正常if(evLoop-&…

grep -A -B -C 输出匹配行及相邻行

grep -A -B -C 输出匹配行及相邻行 grep --help 摘抄&#x1f447; 文件控制&#xff1a; -B, --before-context数值 打印前面 <数值> 行上下文-A, --after-context数值 打印后面 <数值> 行上下文-C, --context数值 打印前后 <数值> 行上下文 文件控制&#…

python小工具之弱密码检测工具

一、引用的python模块 Crypto&#xff1a; Python中一个强大的加密模块&#xff0c;提供了许多常见的加密算法和工具。它建立在pyc.ypodome或pyc.ypto等底层加密库之上&#xff0c;为Python程序员提供了简单易用的API&#xff0c;使其可以轻松地实现各种加密功能。 commands…

STM32MP157D-DK1 Qt程序交叉编译与运行测试

上篇文章介绍了STM32MP157D-DK1开发板Qt镜像的构建&#xff0c;通过在Ubuntu中重新编译带有Qt功能的系统来实现。 本篇在上篇的基础上&#xff0c;继续搭建Qt的交叉编译环境&#xff0c;实现Qt程序在Ubuntu中编译&#xff0c;在STM32MP157板子中运行。 1 编译安装SDK 在上篇…

阿里云和腾讯云服务器系统盘40G或50G空间够用吗?

云服务器系统盘40G或50G空间够用吗&#xff1f;够用&#xff0c;操作系统一般占用几个GB的存储空间&#xff0c;尤其是Linux操作系统占用空间容量更小&#xff0c;阿里云和腾讯云服务器系统盘默认提供的40GB高效云盘或50G通用型SSD云硬盘&#xff0c;阿腾云atengyun.com分享是否…

写你的第一个Vue程序

Vue.js渐进式JavaScript框架&#xff0c;Vue是一款用于构建用户界面的JavaScript框架。它基于标准HTML、CSS和JavaScript构建&#xff0c;并提供了一套声明式的、组件化的编程模型&#xff0c;帮助开发者高效地开发用户界面。 写你的第一个Vue程序 <!DOCTYPE html> <…

【机器学习前置知识】多项式分布

多项式分布是二项式分布的推广。 在二项分布这篇文章中我们曾以抛硬币举例&#xff1a;在一次抛硬币实验中结果只有两种情况&#xff0c;正面或反面向上&#xff1b;在 n n n 次抛硬币实验中&#xff0c;正面向上出现 k k k 次的有 C n k n ! k ! ( n − k ) ! C_{n}^k{n!…

计算机组成原理-总线的性能指标

文章目录 总览总线周期 总线时钟周期 总线工作频率 总线时钟频率总线宽度 总线带宽例题串行总线和并行总线的速度&#xff08;带宽&#xff09;比较总线复用 信号线数总结 总览 总线周期 总线时钟周期 总线工作频率 总线时钟频率 一个总线周期就是指利用总线传输一组数据需要的…

详解进制之间的转换

目录 一、十进制转换 1、十进制转换为二进制 2、十进制转换为八进制 3、十进制转换为十六进制 二、二进制转换 1、二进制转换为八进制 2、二进制转换成十进制 3、二进制转换为十六进制 三、八进制转换 1、八进制转换成二进制 2、八进制转换成十进制 3、八进制转换成…

宝塔面板安装mysql出现最低内存和最低CPU限制的解决方案

当我们服务器配置不高时&#xff0c;在宝塔面板中安装mysql可能会出现&#xff1a;“至少需要2个CPU核心才能安装”或者“至少需要XXX内存才能安装”。这是宝塔面板为了保证服务器的运行&#xff0c;宝塔面板对于低内存和低CPU的服务器&#xff0c;安装mysql时有最低内存和CPU核…

Linux mail自动推送邮件脚本+一键发送邮件脚本

文章目录 说明配置mail安装mail配置mail自动推送邮件脚本定时任务mail_push.shmessage.info效果预览一键发送邮件脚本mail_sent.sh效果预览说明 自动推送邮件脚本:每日定时推送提前定义好的文本数据,以作提醒 mail_push.shmessage.info一键发送邮件脚本:交互式输入邮件主题和…

代价函数详解

代价函数详解 大家好&#xff0c;我是免费搭建查券返利机器人赚佣金就用微赚淘客系统3.0的小编&#xff0c;也是冬天不穿秋裤&#xff0c;天冷也要风度的程序猿&#xff01;在计算机科学和机器学习领域中&#xff0c;代价函数&#xff08;Cost Function&#xff09;是一个至关…

Spring Boot中WebMvcConfig配置详解及示例

引言&#xff1a; 在Spring Boot项目中&#xff0c;我们经常需要对Web MVC进行配置&#xff0c;以满足项目的特定需求。例如&#xff0c;设置静态资源映射、自定义消息转换器或生成Swagger接口文档等。今天&#xff0c;我们将详细探讨如何在Spring Boot中通过WebMvcConfig类进行…

C#线程基础(线程启动和停止)

目录 一、关于线程 二、示例 三、生成效果 一、关于线程 在使用多线程前要先引用命名空间System.Threading&#xff0c;引用命名空间后就可以在需要的地方方便地创建并使用线程。 创建线程对象的构造方法中使用了ThreadStart()委托&#xff0c;当线程开始执行时&#xff0c…

JSON 的常见格式总结

目录 1、JSON 数值 2、JSON 字符串 3、JSON 数组 4、JSON 对象 5、JSON 对象为数组 1、JSON 数值 { “age”:20 } 2、JSON 字符串 { “name”:”cyk” } 3、JSON 数组 { “hobay”:[“dd”,”foot”,”basket”] } 4、JSON 对象 { “chongwu”: { “name”:”dog…

LeetCode第32题 : 最长有效括号

题目介绍 给你一个只包含 ( 和 ) 的字符串&#xff0c;找出最长有效&#xff08;格式正确且连续&#xff09;括号子串的长度。 示例 1&#xff1a; 输入&#xff1a;s "(()" 输出&#xff1a;2 解释&#xff1a;最长有效括号子串是 "()" 示例 2&#xf…

springCould中的Hystrix【上】-从小白开始【7】

目录 1.简单介绍❤️❤️❤️ 2.主要功能 ❤️❤️❤️ 3.正确案例❤️❤️❤️ 4.使用jmeter压测 ❤️❤️❤️ 5.建模块 80❤️❤️❤️ 6.如何解决上面问题 ❤️❤️❤️ 7.对8001进行服务降级❤️❤️❤️ 8.对80进行服务降级 ❤️❤️❤️ 9.通用降级方法❤️❤️…